Suponha que, no processo de identificação de vulnerabilidades em uma organização, várias vulnerabilidades encontradas não possuíssem ameaças correspondentes relacionadas e não tenham sido identificados controles a serem implantados. Nessa situação, de acordo com a NBR ISO/IEC 27005, o gestor de segurança da informação agirá corretamente se determinar, formalmente, que tais vulnerabilidades sejam ignoradas.